보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
알약 2분기 슬롯 머신 프로그램 행위기반 차단 건수: 158,188건!
2021년2분기,알약을통해총158,188건의슬롯 머신 프로그램행위기반공격이차단된것으로확인되었습니다.
이번통계는개인사용자를대상으로무료제공하는공개용알약의‘슬롯 머신 프로그램행위기반차단기능’을 통해차단된공격만을집계한결과로,패턴기반탐지 건까지포함한다면전체공격은더욱 많을것으로예상됩니다.
통계에따르면,2021년2분기알약을통해차단된슬롯 머신 프로그램공격은총158,188건으로,이를일간기준으로환산하면일평균약1,758건의슬롯 머신 프로그램공격이차단된것으로볼수있습니다.최근2년에걸쳐전체슬롯 머신 프로그램공격건수는지속적으로감소하는추세를보였으나,지난1분기에 비해2분기부터는 조금씩 증가하는 모습을 보이고 있습니다.
ESRC는2021년2분기슬롯 머신 프로그램주요동향을다음과같이선정하였습니다.
1)Sodinokibi조직의 전방위적 공격 확산 및 새로운 리눅스 변종 발견
2)미 최대 송유관 회사Colonial Pipeline 등국가 인프라 타깃 대규모 공격 발생
3) Babuk Locker슬롯 머신 프로그램 빌더 유출로변종및실제피해 사례다수발생
4) '비너스락커' 그룹이 유포하는Makop슬롯 머신 프로그램 공격 꾸준히 발생
2021년2분기에는 피싱 이메일 내 입사 지원서,저작권 침해 관련,견적 문의 등 다양한 테마의 첨부파일 형태로 유포되는Makop슬롯 머신 프로그램가 꾸준히 상위권을 유지했습니다.전 세계 유명 기업들을 타깃으로 다수의 공격을 펼치며 새로운 리눅스 변종까지 제작한Sodinokibi슬롯 머신 프로그램 그룹의 움직임도 주목할 만합니다.미국 송유관 시설을 타깃으로 수행된Darkside슬롯 머신 프로그램 공격으로 인해 막대한 피해가 발생했으며,그 밖에Babuk Locker슬롯 머신 프로그램의 빌더 유출로 변종 제작 및 실제 악용 사례가 확인되었습니다. 2분기 슬롯 머신 프로그램 공격 건수는1분기에 비해 전반적으로 증가 추세를 나타냈습니다.
2분기에 주목할만한 위협으로는 4월에 발생한 Apple의 핵심 공급업체인 대만의 ‘Quanta Computer’ 공격, 6월에 발생한 미국 식품 가공 업체 ‘JBS Food’ 및 일본 기업 ‘Fujifilm’ 공격 등 세계적인 대기업을 대상으로 Sodinokibi (Revil로도 알려짐) 그룹 소행으로 의심되는 슬롯 머신 프로그램 공격들이 잇따라 발생했습니다. 이로 인해 여러 생산 시설들이 일정 시간 중단되는 등 시스템 운영에 어려움을 겪었으며,해커들은 탈취한 데이터 중 핵심적인 기업 기밀 사항 등을 유출하겠다고 협박하는‘이중 갈취’전략을 사용함으로써 랜섬 지불을 더욱 효과적으로 유도했습니다. 6월 말에는VM웨어ESXi를 공격하는Sodinokibi슬롯 머신 프로그램의리눅스변종이 발견되었습니다.리눅스 아키텍처에 Windows 버전을 추가하는Sodinokibi업그레이드 방식은Darkside와 같은 인기 있는RaaS그룹에서 최근 자주 활용되는 추세로,잠재적 공격 타깃 범위를 확장하는 데 효과적입니다.
5월에는 미국 최대 송유관 기업인‘Colonial Pipeline’시설을 노린Darkside슬롯 머신 프로그램 공격이 발생했습니다.해당 공격으로 인해5일 간 미 전역에 공급되는5,500마일 길이의파이프라인운영이 5일간 중단되었고, 5백만 달러에 달하는 거액의 랜섬 머니를 지불한 뒤 비로소 운영을 재개했습니다.해당 기업은 제품 공급 중단으로 인해 가스 가격이 상승하는 등 전 세계 경제 상황에 심각한 피해를 초래할 것으로 예상되어, 비용을 지불하고 도난당한 데이터 유출을 막은 것으로 확인되었습니다.공격 발생 이후,FBI공조 등을 통해 대대적인 수사가 이루어졌고,결국Darkside슬롯 머신 프로그램 운영자들은 폐업을 선언하고 피해 기업에 복호화 키를 제공하겠다고 밝혔습니다. ‘Colonial Pipleline’공격은 에너지 산업의 핵심 인프라에 대한 공격이 매우 위험할 수 있음을 다시 한번 보여주는 사례로 평가됩니다.
4월에는Babuk Locker슬롯 머신 프로그램 조직이 미국 워싱턴DC경찰국에서 데이터 탈취를 주장하며 금전 지불을 요구했고,지불이 이루어지지 않을 경우 기밀 정보들을 추가로 공개하겠다고 피해자들을 협박했습니다. 6월에는Babuk Locker슬롯 머신 프로그램의 빌더가VirusTotal악성코드 스캐닝 서비스에 등록되었으며,보안 연구원에 의해 발견되었습니다.해당 빌더 유출로 인해 다른 사이버 범죄 조직이 자체 버전을 개발함으로써 전 세계의 조직을 공격할 수 있기 때문에 더욱 우려되는 상황으로Babuk Locker슬롯 머신 프로그램 공격과 관련된 지속적인 모니터링이 필요합니다.
지난1분기에 이어2분기에도 비너스락커 그룹이 유포하는Makop슬롯 머신 프로그램가 꾸준히 발견되었습니다. Makop공격자들은 주로 입사지원서,이력서,경력 사항,포트폴리오,견적 문의 또는 이미지 저작권 침해 관련 문서로 위장한EXE파일을 첨부한 스피어피싱 이메일 형태로 슬롯 머신 프로그램를 유포했습니다.특히 파일 아이콘,파일명,파일 설명,확장명,메일 주소 등은 다양하게 변경해가며 탐지 망을 교묘히 피해 가는 수법을 이용했고,그 외 특징들은 이전과 유사합니다.
이밖에도Sodinokibi와 랜섬노트 웹페이지 디자인이 동일한 새로운‘Lorenz’슬롯 머신 프로그램와Sodinokibi소스코드를 기반으로 제작된‘LV’슬롯 머신 프로그램가 발견되었습니다. Lorenz슬롯 머신 프로그램는 커스텀 공격을 통해 전 세계 기업을 노리며4월부터 활동을 시작했습니다.다른 슬롯 머신 프로그램 그룹과는 약간 다른 방식으로 데이터를 게시하는데,랜섬 지불을 압박하기 위해 다른 공격자 또는 경쟁 업체에 데이터 판매를 허용하고 피해자 내부 네트워크 접근 권한도 함께 판매합니다. LV슬롯 머신 프로그램는Sodinokibi바이너리를 복사하고 용도를 변경함으로써 자체 슬롯 머신 프로그램를 제작한 것으로 확인되며,데이터를 탈취하고“name and shame”유출 사이트에 피해자 이름을 게시하는 등 다양한 방법으로Sodinokibi슬롯 머신 프로그램의 공격 방식을 모방하였으나 명확하게 구별되는 차이점들도 존재해,독자적으로 개발된 슬롯 머신 프로그램로 확인되었습니다. LV슬롯 머신 프로그램는 해커들이 이미 공격 성공률이 검증된 잘 알려진 슬롯 머신 프로그램 코드를 활용함으로써 개발 리소스를 절감하고 수익성 높은 비즈니스 모델을 구축할 수 있음을 잘 보여주는 사례입니다.
그 외, QLocker, Avaddon, Darkside등 일부 슬롯 머신 프로그램 그룹들이 운영 중단을 선언하고 피해자의 복호화 키를 공개하거나 공개 예정이라고 밝혔습니다. QLocker슬롯 머신 프로그램의 경우FBI로 위장한 익명 제보를 통해 복호화 키가 전달되었고 조사 결과 실제 복호화 키로 확인되었습니다.각각의 키는 특정 피해자들에게 할당되었습니다. 4월부터 수백만 명의QNAP사용자를 공격한QLocker슬롯 머신 프로그램 또한 운영을 중단한다고 발표했습니다.이들이 랜섬을 탈취하기 위해 사용했던QLocker Tor사이트가 모두 접근 불가 상태로 확인되었습니다. Darkside슬롯 머신 프로그램 운영자들 또한FBI공조 수사가 진행되자 활동을 중단한다고 밝혔습니다.이들은 최근 주요 인프라에 대한 공격 이후 전 세계 법 집행 기관 및 정부의 압력에 따라 이 같은 결정을 한 것으로 추정됩니다.
이스트시큐리티ESRC이지현 팀장은 “2021년2분기에도Makop슬롯 머신 프로그램를 활용한비너스락커그룹의공격이 지속적으로 발견되고 있다.”라고 언급하며, “최근에는 해커들이 기존에 잘 알려진 슬롯 머신 프로그램의 소스코드나 공격 방식을 활용함으로써 공격 효율성을 높이고 있으며,국가 핵심 인프라 시설 및 유통 기업을 대상으로 하는 대규모 공격들도 과감하게 이루어지고 있어,추후 심각한 피해로 이어지는 것을 예방하기 위해서는 기업과 개인들은 주기적인 백업 및 안전한 보안 시스템 구축 등을 통해 사전에 대비하는자세가필요하다."고강조했습니다.
이밖에ESRC에서밝힌2021년2분기에새로발견되었거나,주목할만한슬롯 머신 프로그램는다음과같습니다.
슬롯 머신 프로그램명 | 주요내용 |
FiveHands | DeathRansom(HELLOKITTY)변종 슬롯 머신 프로그램로, UNC2447사이버 범죄 조직이SonicWall VPN제로데이(0-Day)취약점을 이용하여 유럽,북미 지역을 대상으로SombRAT악성코드 감염을 시킨 후 유포됨. |
Nitro | 디스코드(Discord) Nitro선물 코드를 랜섬머니로 요구하는 슬롯 머신 프로그램로,암호화된 파일에'.givemenitro'확장자를 추가함.또한 피해자 바탕화면을 화난 표정을 지은 디스코드(Discord)로고로 변경하며,피해자가 유효한 선물코드 링크 입력시 파일을 복호화함. |
Epsilon Red | Microsoft Exchange서버의 패치되지 않은 취약점'ProxyLogon'을 악용하는 슬롯 머신 프로그램로,암호화된 파일에 확장자'.epsilonred'를 추가함. Golang(Go)언어로 작성되었으며, Sodinokibi슬롯 머신 프로그램의 랜섬노트를 일부 모방하여 사용함. |
Marketo | 일본의 중장비 업체‘고마쓰(KOMATSU)’를 해킹했다고 밝히며,산업기밀 및 개인정보를 경쟁사에 유출했다는 내용으로 피해자의 랜섬 지불을 압박한 슬롯 머신 프로그램로,이중 갈취 수법에서 한 단계 진화한 형태로 제작됨.세계적인 중장비 업체들의 이메일 주소를 함께 공개해 주장의 신뢰성을 높임. |
Cring | 패치되지 않은Fortinet VPN기기를 공격한 슬롯 머신 프로그램로, CVE-2018-13379취약점을 적극적으로 악용함.파일 암호화 후 최대2BTC를 랜섬으로 요구하며, Cobalt Strike프레임워크를 사용해 슬롯 머신 프로그램를 배포함. |
N3TW0RM | 이스라엘에 위치한 기업 및 비영리단체를 타깃으로 공격을 수행한 슬롯 머신 프로그램로,파일 암호화 및 데이터 유출 협박을 동시에 진행하는'이중 갈취'전략을 사용함.클라이언트-서버 모델을 사용하여 공격을 수행하며,암호화된 파일에는'.n3tworm'확장자가 추가됨. |
DarkRadiation | Linux와Docker클라우드 컨테이너를 타깃으로 하며Bash셸로 작성된 슬롯 머신 프로그램로,암호화된 파일의 이름에 방사능 기호를 추가함.복잡한Bash스크립트 모음과 최소6개의C2를 사용하며,하드코딩된API키를 사용해Telegram봇과 통신하는 것이 특징. |
Cuba | 암호화된 파일 내부에 피델 카스트로(Fidel Castro)를 지칭하는 문구가 포함된 슬롯 머신 프로그램로, 카리브 제도에 위치한 쿠바(Cuba) 국가를 연상시키는 파일 확장명이 포함됨. 북미, 남미, 유럽 전역의 금융 기관, 기술, 물류 산업을 타깃으로 공격을 수행함. |
슬롯 머신 프로그램유포케이스의대다수는이메일형태지만,코로나19바이러스확산방지를위해재택근무를수행하는임직원이증가함에따라기업내부망접속을위해사용되는재택근무단말기OS/SW보안업데이트점검을의무화하고임직원보안인식교육도병행해야합니다.
이스트시큐리티는슬롯 머신 프로그램감염으로인한국내사용자피해를미연에방지하기위해,한국인터넷진흥원(KISA)과의긴밀한협력을통해슬롯 머신 프로그램정보수집과유기적인대응협력을진행하고있습니다.
참고: